X

Actueel

15aug

Een datalek zit in een klein hoekje

Ik merk dat veel mensen wat zenuwachtig reageren op wet- en regelgeving zoals de Wet Meldplicht Datalekken en de Algemene verordening gegevensbescherming (AVG/GDPR). De mogelijke effecten van het lekken van gevoelige gegevens kunnen inderdaad tegenwoordig flink vergroot worden door sancties van de overheid. Technisch gezien is er echter weinig veranderd. Je moet nog steeds je zaakjes op orde hebben. Het is niet zo dat er nu opeens andere soorten lekken mogelijk zijn. Het gaat nog steeds om de zelfde problemen met informatiebeveiliging als voorheen, alleen is er nu wetgeving over gevallen waarin die problemen leiden tot datalekken.

Welke kwetsbaarheden kunnen dan leiden tot een datalek? Alle kwetsbaarheden.

Bij een datalek gaat het om toegang tot of vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens, en verlies van (toegang tot) persoonsgegevens.

Dat is vrij ruim. Als ik een kwetsbaarheid vind in een systeem waarin persoonsgegevens worden verwerkt, dan kan je er van uit gaan dat misbruik van die kwetsbaarheid leidt tot een datalek.

Een voorbeeld: het blijkt dat een inlogpoging in een webapplicatie 42 milliseconden duurt met gebruik van een ongeldige gebruikersnaam en een ongeldig wachtwoord. Een inlogpoging met een ongeldig wachtwoord maar met een geldige gebruikersnaam kost echter steeds 128 milliseconden.

Door gebruik te maken van deze kennis kan ik brute force wachtwoordaanvallen versimpelen door eerst te zoeken naar geldige gebruikersnamen en daarna pas te zoeken naar geldige wachtwoorden. Dat is zo'n significante optimalisatie van mijn aanval dat het ineens een reële mogelijkheid wordt om op die manier toegang te krijgen tot een gebruikersaccount. Wanneer ik dan van de betreffende gebruiker persoonsgegevens kan inzien, is er al sprake van een lek. De ernstigheid ervan, en daarmee de bijbehorende sanctie, hangt af van de hoeveelheid en aard van gelekte gegevens. Het blijkt echter: "een datalek zit in een klein hoekje".

Related

Data opslaan? Doe het safe!

Data opslaan? Doe het safe!

Consultant Marcel van der Wal zet 7 tips op een rijtje die bijdragen aan betere informatiebeveiligin...

Read More >
Vest op Linkedin

Vest op Linkedin

Als Vest zijnde blijven wij graag in contact met ons netwerk. Naast het persoonlijke kopje koffie zi...

Read More >
Overzicht AVG-klachten 2018

Overzicht AVG-klachten 2018

Nu 2018 achter ons ligt, kunnen we terugblikken op het jaar waarin de AVG van kracht werd. In dit ar...

Read More >
Over whitelisting...

Over whitelisting...

Soms vragen wij bij een security test om beveiligingsmaatregelen uit te schakelen. In dit artikel le...

Read More >
Cybersecurity onderzoek in Nederland 2018

Cybersecurity onderzoek in Nederland 2018

Ook dit jaar heeft het NCSC een onderzoek gedaan naar de belangrijkste cybersecurity risico’s voor ...

Read More >
To footprint or not to footprint?

To footprint or not to footprint?

Het kan heel nuttig zijn om footprinting mee te nemen in een security test. Maar soms kan het ook ti...

Read More >

Op de hoogte blijven van ons laatste nieuws?

Regelmatig delen onze Business Area Managers nieuws vanuit hun domein van expertise. Wilt u op de hoogte gehouden worden van deze nieuwsitems? Schrijf u dan nu in voor onze nieuwsbrief.